Skip to main content

Le Colorado Privacy Act (CPA)

Le Colorado est le troisième État américain, après la Californie et la Virginie, à adopter une loi visant à protéger les données de ses citoyens. Le Colorado Privacy Act a été promulgué par le gouverneur Jared Polis le 7 juillet 2021. Cette nouvelle loi sur la protection de la vie privée entrera en vigueur en juillet 2023. Voici ce que vous, en tant que propriétaire de site web, devez savoir à ce sujet.

Le Colorado Privacy Act en quelques mots

Selon l'Assemblée générale du Colorado, le corps législatif de l'État du Colorado, l'objectif de ce projet de loi est de créer et de mettre en œuvre des droits à la confidentialité des données personnelles et :

  • "S'applique aux entités juridiques qui mènent des affaires ou produisent des produits ou services commerciaux qui sont intentionnellement ciblés sur les résidents du Colorado et qui soit :
  • contrôlent ou traitent les données personnelles de plus de 100 000 consommateurs par année civile ; ou
  • tirent des revenus de la vente de données personnelles et contrôlent ou traitent les données personnelles d'au moins 25 000 consommateurs ; et
  • ne s'applique pas à certaines entités spécifiées, aux données personnelles régies par les lois fédérales et étatiques énumérées, aux activités énumérées et aux dossiers d'emploi.

 

Les consommateurs ont le droit de refuser le traitement de leurs données personnelles, d'accéder à ces données, de les corriger ou de les supprimer, ou d'obtenir une copie portable de ces données. Le projet de loi définit un "responsable du traitement" comme une personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Un "sous-traitant" est une personne qui traite des données à caractère personnel pour le compte d'un responsable du traitement."

Les similitudes et les différences entre les lois américaines sur la confidentialité des données.

 

Comme mentionné précédemment, la LPC suit les principes de ses lois homologues, la California Consumer Privacy Act (CCPA) et la Virginia Consumer Data Protection Act (VCDPA), qui sont toutes deux basées sur les principes du Règlement général européen sur la protection des données, également connu sous le nom de GDPR.

 

Définition des droits des consommateurs : Ces 3 lois prévoient toutes des droits d'accès, de suppression, de correction, de portabilité et d'opt-out pour la publicité ciblée, les ventes et certaines décisions de profilage qui ont des effets juridiques ou similaires. Une différence entre la CCPA et la CPA est que les consommateurs du Colorado doivent utiliser un agent autorisé pour les demandes de retrait de vente.

 

Recours contre les décisions relatives aux droits des consommateurs : La procédure d'appel des consommateurs du Colorado est similaire à celle de la Virginie. En vertu de la CPA, si un consommateur a une demande valable, le responsable du traitement doit lui permettre de faire appel de sa décision. Le responsable du traitement doit également faire connaître au consommateur les raisons du rejet de sa demande et l'informer de son droit de contacter le procureur général "si le consommateur a des inquiétudes quant au résultat de l'appel."

 

Demandes d'exclusion : Contrairement à la loi californienne, qui rend le contrôle global de la vie privée facultatif, les responsables du traitement doivent se conformer à l'opt-out universel prévu par la LPC. Les spécifications techniques de ce processus sont encore en débat mais seront annoncées bien avant l'entrée en vigueur de la loi en juillet 2023.

 

Consentement au traitement des données: À l'instar de la loi de Virginie, la LPC exige le consentement de l'intéressé pour le traitement de données personnelles sensibles, telles que

  • la citoyenneté ;
  • l'origine raciale ou ethnique ;
  • les croyances religieuses ;
  • les données génétiques ou biométriques utilisées pour identifier un individu unique.

La loi sur la protection de la vie privée du Colorado exige également le consentement pour le traitement des informations relatives aux enfants de moins de 13 ans.

Obligations du contrôleur : La liste des obligations des contrôleurs établie par l'ACP comprend :

  • la transparence ;
  • la spécification de la finalité
  • la minimisation des données
  • éviter l'utilisation secondaire
  • éviter toute discrimination illégale ;
  • autres obligations concernant les données sensibles.

Ces obligations sont très similaires à celles mentionnées dans la CCPA et la VCDPA.

 

Évaluations de la protection des données : La CCPA exige que des DPA (évaluations de la protection des données) soient mises en place pour des activités telles que la publicité ciblée, les ventes, certains profilages et le traitement de données personnelles sensibles. Comme pour la VCDPA, le procureur général du Colorado a le droit d'accéder aux DPA du responsable du traitement.

 

Choisissez un outil d'analyse conforme à la CPA pour votre site web

 

Chez Visitor Analytics, avec l'aide d'une grande équipe d'avocats spécialisés dans la protection de la vie privée, nous faisons de notre mieux pour vous tenir informé des lois sur la confidentialité des données et pour vous offrir un outil d'analyse qui sera toujours conforme aux changements juridiques constants dans le monde entier.

Visitor Analytics est conforme à la CPA, la CCPA et la VDCPA.

Si vous n'avez pas encore essayé notre outil, vous pouvezvous inscrire gratuitement suret importer vos données historiques Google Analytics en quelques clics.